Réglementation DORA : tout comprendre sur la législation

Après la publication de la directive NIS 2, le règlement européen DORA, ou Digital Operational Resilience Act, a été publié le 27 décembre 2022. Il vise à renforcer la résilience opérationnelle numérique des institutions financières face aux cybermenaces et aux incidents liés aux technologies de l'information et de la communication (TIC).

Le règlement s'applique à un large éventail d'entités financières, notamment :

• Établissements de crédit
• Établissements de paiement
• Établissements de monnaie électronique
• Entreprises d'investissement
• Prestataires de services sur crypto-actifs
• Dépositaires centraux de titre
• Contreparties centrales
• Plates-formes de négociation
• Prestataires de services de communication de données
• Référentiels centraux
• Gestionnaires de fonds d'investissement alternatif
• Sociétés de gestion
• Entreprises d'assurance et de réassurance
• Intermédiaires d'assurance, intermédiaires de réassurance et intermédiaires d'assurance à titre accessoire
• Institutions de retraite professionnelles
• Agences de notation de crédit
• Administrateurs d'indices de référence d'importance critique
• Prestataires de services de financement participatif
• Référentiels des titrisations

De plus, DORA concerne également les prestataires tiers de services TIC qui fournissent des services à ces entités financières, en particulier ceux qui sont désignés comme critiques. Les prestataires de services TIC intra-groupe sont également concernés. Les prestataires tiers de services TIC établis dans un pays tiers sont visés par des exigences spécifiques.

Il est également important de noter que le règlement prévoit une application proportionnée, tenant compte de la taille, du profil de risque et de la complexité des activités des entités financières. Par exemple, les microentreprises bénéficient d'un cadre simplifié de gestion du risque lié aux TIC.

• 27/12/2022 : Publication officielle au Journal officiel de l’Union européenne
• 16/01/2023 : Entrée en vigueur du règlement.
• 17/01/2025 : Entrée en application obligatoire.

Le règlement DORA a pour objectif d'harmoniser et de renforcer la résilience opérationnelle numérique du secteur financier. Il impose des exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information. Structuré en 9 chapitres et comprenant 64 articles, DORA détaille ses exigences essentielles à travers des chapitres clés, allant du chapitre 5 au chapitre 45, se déclinent en 5 piliers fondamentaux :

1. Gestion des risques liés aux TIC (Chapitre 2, Articles 5 à 16) : DORA exige que les entités financières mettent en place un cadre solide pour identifier, gérer et atténuer les risques liés aux TIC. Cela inclut la mise en œuvre de stratégies de protection et de prévention, ainsi que des politiques de continuité des activités et de réponse aux incidents.
2. Gestion et reporting des incidents TIC (Chapitre 3, Articles 17 à 23) : Les incidents majeurs liés aux TIC doivent être notifiés aux autorités compétentes. DORA harmonise les exigences de notification, imposant un cadre unique pour toutes les entités financières.
3. Tests de résilience numérique (Chapitre 4, Articles 24 à 27) : Les entités financières doivent effectuer des tests de résilience opérationnelle réguliers de leurs systèmes de TIC, y compris des tests de pénétration fondés sur la menace. Ces tests permettent d'identifier les vulnérabilités et de renforcer les mesures de sécurité.
4. Gestion des risques liés aux prestataires TIC (Chapitre 5, Articles 28 à 44) : Étant donné que de nombreuses entités financières dépendent de prestataires tiers pour leurs services TIC, le règlement DORA introduit un cadre de supervision pour les prestataires critiques. Les contrats avec ces prestataires doivent comporter des clauses spécifiques pour garantir la sécurité et la continuité des services.
5. Partage d’informations en cybersécurité (Chapitre 6, Article 45) : Les entités financières sont encouragées à partager des informations et des renseignements sur les cybermenaces au sein du secteur financier pour renforcer leur capacité collective à se défendre.

Pas d’amendes administratives exactement chiffrées, le règlement DORA laisse l’appréciation de la sanction aux États membres et à leurs autorités compétentes. Le chapitre VII de DORA, intitulé "Autorités compétentes" (en particulier l'article 50) précise les sanctions administratives et mesures correctives applicables en cas de violation du règlement. Voici les principaux éléments à retenir :

• Les autorités compétentes disposent de pouvoirs étendus de surveillance, d'enquête et de sanction pour garantir l'application du règlement.
• Les États membres doivent prévoir des sanctions administratives et mesures correctives appropriées, qui doivent être efficaces, proportionnées et dissuasives.

Les sanctions possibles incluent :

• Injonctions pour mettre fin à des comportements non conformes.
• Arrêt temporaire ou définitif de pratiques contraires au règlement.
• Amendes financières pour assurer le respect des obligations.
• Les sanctions peuvent être appliquées aux membres de l'organe de direction et aux autres personnes responsables de violations.
• Les autorités peuvent agir directement, en collaboration avec d'autres entités et saisir des autorités judiciaires.
• Les sanctions tiennent compte de facteurs tels que la gravité de la violation, les gains réalisés et les dommages causés.
• Les États membres peuvent également prévoir des sanctions pénales en cas de violation.

Enfin, l'article 35 mentionne des astreintes pour les prestataires tiers critiques de services TIC. Ces astreintes journalières sont applicables jusqu'à ce que la conformité soit atteinte, pour une durée maximale de six mois.

Voici les étapes clés pour garantir votre conformité :

1. Comprendre les exigences du règlement DORA : Bénéficiez de formations en cybersécurité pour monter en compétences et comprendre les obligations réglementaires.
2. Impliquer et sensibiliser les parties prenantes : Adaptez votre gouvernance et engagez activement vos équipes grâce à des programmes de sensibilisation personnalisés.
3. Réaliser une analyse d'écarts : Évaluez votre niveau actuel de conformité avec l’aide de nos experts certifiés pour identifier les lacunes et les opportunités d’amélioration.
4. Renforcer la gouvernance, la conformité et la gestion des risques liés aux TIC et aux prestataires tiers de services TIC :
   • Définissez des objectifs clairs et des indicateurs de performance.
   • Mettez en place des stratégies et processus de cybersécurité alignés avec vos objectifs financiers et opérationnels.
   • Déployez un cadre efficace de gestion des risques liés aux TIC.
   • Mise en œuvre de la stratégie de gestion des prestataires TIC ainsi que la supervision de ces prestataires, notamment les prestataires considérés comme « critiques »
   • Établissez un cadre de veille cybersécurité et un plan de communication efficace pour garantir une mise à jour continue des actualités et un partage structuré des informations relatives aux cybermenaces dans le secteur financier
   • Assurez une surveillance et un suivi régulier des activités par les outils de monitoring et les audits internes indépendants
5. Implémenter des mécanismes de gestion des incidents
   • Mettez en œuvre les processus de gestion des incidents liés aux TIC pour détecter, gérer et notifier ces incidents. Ce processus doit inclure des indicateurs d'alerte précoce, des procédures pour identifier, suivre, et classer les incidents, et définir des rôles et responsabilités clairs pour chaque type d'incident. Pour cela, vous pouvez confier la surveillance de vos systèmes à un centre opérationnel de sécurité (SOC managé) maitrisant des processus et des outils avancés de détection (EDR, IDS) et de réponse aux incidents.
6. Tester la résilience opérationnelle numérique
   • Réalisez des tests fondés sur les menaces pour évaluer la résilience opérationnelle de vos systèmes par le biais des pentests, des exercices Red Team / Purple Team
   • Organisez des exercices grandeur nature pour tester la gestion de crise cyber et préparer vos équipes à faire face à des situations réelles.

Le CNPP propose un accompagnement efficace pour vous aider à relever les défis de DORA.

CNPP est votre partenaire privilégié pour une mise en conformité efficace avec le règlement DORA. Ne tardez pas, commencez dès aujourd’hui pour prévenir les risques et garantir la résilience opérationnelle de votre organisation.

Contactez-nous !